Egregor: Erpresser-Botschaft am Kassenzettel

19. November, 2020

Erpresser-Botschaft am KassenzettelCencosud, eine der größten Einzelhandelskette in Südamerika, wurde vor kurzem recht publikumswirksam zum Opfer einer Ransomware-Kampagne. Die Angreifer fordern ein Lösegeld in Millionenhöhe – und drucken diese Botschaft auch über die Kassendrucker in den Geschäften! In vielen Geschäften der Kette ist „wegen technischer Probleme“ kein oder nur noch ein eingeschränkter Geschäftsbetrieb möglich.

Geschäftsmodell „Ransomware as a Service“

Die Attacke kann Egregor zugeordnet werden, dem operativen Nachfolger der Maze-Ransomware. Der Ransomware-as-a-Service-Dienst tritt seit September 2020 in Erscheinung. Eine Besonderheit dabei ist, dass die Information über die Geiselnahme der Daten und Lösegeldforderungen auf allen angeschlossenen Druckern ausgegeben wird.

Darüber hinaus folgt Egregor bekannten Pfaden: Firmennetzwerke werden gekapert, sensible Informationen gestohlen, Daten verschlüsselt, Lösegelder gefordert und, sollte nicht (pünktlich) bezahlt werden, gestohlene Daten im Internet veröffentlicht. [1]

Konzerne, KMU, Privatpersonen – alle sind Ziel der Erpresser

Ransomware-Attacken laufen mittlerweile hoch automatisiert ab und nutzen meist sehr aktuelle Schwachstellen der Zielsysteme aus. Nicht nur große Unternehmen, auch KMU und Privatpersonen sind Ziel der Angriffe und verlieren dabei Daten und Geld.

Oft stehen Unternehmen vor Millionenschweren Lösegeldforderungen. Die Optionen sind ernüchternd: entweder bezahlen und hoffen, dass die versprochene Wiederherstellung funktioniert –  oder die Daten verlieren und alle Systeme neu aufbauen.

Inzwischen werden nicht nur mehr bloß Daten verschlüsselt, sondern diese vorab an die Angreifer übermittelt. Die Drohung, sensible Daten zu veröffentlichen, soll den Druck erhöhen und mehr Opfer zur Zahlung bewegen. Da es sich bei solchen Erpressungen um Cyber-Angriffe von organisierten Kriminellen handelt, raten viele Behörden, z.B. das Deutsche Bundesamt für Sicherheit in der Informationstechnik, nachdrücklich von der Zahlung ab. [2]

Die einzige immer wirksame Gegenmaßnahme sind Offline-Backups, bei denen die Daten von den Angreifern nicht erreicht werden können. Im einfachsten Fall hilft schon eine externe USB-Festplatte, die nur zur Datensicherung angesteckt wird.

Linktipp:

Backup-Strategie vom Security-Experten


[1] https://www.bleepingcomputer.com/news/security/retail-giant-cencosud-hit-by-egregor-ransomware-attack-stores-impacted/, https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung
Frühzeitige Erkennung von Cybergefahren
Gefahren durch vertrauenswürdige Services
Threat Intelligence
SQL Injection

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download